Domyślny dostęp wychodzący na platformie Azure
Na platformie Azure maszyny wirtualne utworzone w sieci wirtualnej bez jawnej zdefiniowanej łączności wychodzącej są przypisane do domyślnego wychodzącego publicznego adresu IP. Ten adres IP umożliwia łączność wychodzącą z zasobów do Internetu. Ten dostęp jest określany jako domyślny dostęp wychodzący.
Przykłady jawnej łączności wychodzącej dla maszyn wirtualnych to:
Utworzono w podsieci skojarzonej z bramą translatora adresów sieciowych.
Wdrożono w puli zaplecza standardowego modułu równoważenia obciążenia ze zdefiniowanymi regułami ruchu wychodzącego.
Wdrożono w puli zaplecza podstawowego publicznego modułu równoważenia obciążenia.
Maszyny wirtualne z publicznymi adresami IP są jawnie skojarzone z nimi.
W jaki sposób jest udostępniany domyślny dostęp wychodzący?
Publiczny adres IPv4 używany do uzyskiwania dostępu jest nazywany domyślnym adresem IP dostępu wychodzącego. Ten adres IP jest niejawny i należy do firmy Microsoft. Ten adres IP podlega zmianie i nie zaleca się od niego zależeć od obciążeń produkcyjnych.
Kiedy jest udostępniany domyślny dostęp wychodzący?
Jeśli wdrażasz maszynę wirtualną na platformie Azure i nie ma jawnej łączności wychodzącej, zostanie przypisany domyślny adres IP dostępu wychodzącego.
Ważne
30 września 2025 r. zostanie wycofany domyślny dostęp wychodzący dla nowych wdrożeń. Więcej informacji znajdziesz w oficjalnym ogłoszeniu. Zalecamy użycie jednej z jawnych form łączności omówionej w poniższej sekcji.
Dlaczego zalecane jest wyłączenie domyślnego dostępu wychodzącego?
Zabezpieczenie domyślne
- Nie zaleca się domyślnie otwierania sieci wirtualnej z Internetem przy użyciu zasady zabezpieczeń sieci Zero Trust.
Jawne a niejawne
- Zaleca się używanie jawnych metod łączności zamiast niejawnych podczas udzielania dostępu do zasobów w sieci wirtualnej.
Utrata adresu IP
- Klienci nie są właścicielami domyślnego adresu IP dostępu wychodzącego. Ten adres IP może ulec zmianie, a każda zależność od niego może spowodować problemy w przyszłości.
Niektóre przykłady konfiguracji, które nie będą działać podczas korzystania z domyślnego dostępu wychodzącego:
- Jeśli masz wiele kart sieciowych na tej samej maszynie wirtualnej, domyślne adresy IP ruchu wychodzącego nie będą spójnie takie same we wszystkich kartach sieciowych.
- Podczas skalowania w górę/w dół zestawów skalowania maszyn wirtualnych domyślne adresy IP ruchu wychodzącego przypisane do poszczególnych wystąpień mogą i zmieniają się.
- Podobnie domyślne adresy IP ruchu wychodzącego nie są spójne ani ciągłe w wystąpieniach maszyn wirtualnych w zestawie skalowania maszyn wirtualnych.
Jak mogę przejść do jawnej metody łączności publicznej (i wyłączyć domyślny dostęp wychodzący)?
Istnieje wiele sposobów wyłączania domyślnego dostępu wychodzącego. W poniższych sekcjach opisano dostępne opcje.
Korzystanie z parametru Podsieci prywatnej (publiczna wersja zapoznawcza)
Ważne
Podsieci prywatne są obecnie dostępne w publicznej wersji zapoznawczej. Ta wersja zapoznawcza nie jest objęta umową dotyczącą poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.
Utworzenie podsieci jako Prywatnej uniemożliwia korzystanie z domyślnego dostępu wychodzącego do łączenia się z publicznymi punktami końcowymi na maszynach wirtualnych w podsieci.
Parametr do utworzenia podsieci Prywatnej można ustawić tylko podczas tworzenia podsieci.
Maszyny wirtualne w podsieci Prywatnej nadal mogą uzyskiwać dostęp do Internetu przy użyciu jawnej łączności wychodzącej.
Uwaga
Niektóre usługi nie będą działać na maszynie wirtualnej w podsieci prywatnej bez jawnej metody ruchu wychodzącego (przykładami są aktywacja systemu Windows i aktualizacje systemu Windows).
Dodawanie funkcji podsieci prywatnej
- W witrynie Azure Portal upewnij się, że opcja włączenia podsieci prywatnej jest wybrana podczas tworzenia podsieci w ramach środowiska tworzenia sieci wirtualnej, jak pokazano poniżej:
Przy użyciu programu PowerShell podczas tworzenia podsieci za pomocą polecenia New-AzVirtualNetworkSubnetConfig użyj
DefaultOutboundAccess
opcji i wybierz pozycję "$false"Przy użyciu interfejsu wiersza polecenia podczas tworzenia podsieci za pomocą polecenia az network vnet subnet create użyj
--default-outbound
opcji i wybierz pozycję "false"Za pomocą szablonu usługi Azure Resource Manager ustaw wartość parametru
defaultOutboundAccess
na wartość "false"
Ograniczenia podsieci prywatnej
W celu aktywowania/aktualizowania systemów operacyjnych maszyn wirtualnych, w tym systemu Windows, wymagana jest jawna metoda łączności wychodzącej.
Podsieci delegowane nie mogą być oznaczone jako prywatne.
Nie można obecnie konwertować istniejących podsieci na prywatne.
W konfiguracjach używających trasy zdefiniowanej przez użytkownika (UDR) z trasą domyślną (0/0), która wysyła ruch do nadrzędnej zapory/wirtualnego urządzenia sieciowego, dowolny ruch, który pomija tę trasę (na przykład do miejsc docelowych oznaczonych tagiem usługi) przerywa w podsieci prywatnej.
Dodawanie jawnej metody łączności wychodzącej
Skojarz bramę translatora adresów sieciowych z podsiecią maszyny wirtualnej.
Skojarz standardowy moduł równoważenia obciążenia skonfigurowany z regułami ruchu wychodzącego.
Skojarz publiczny adres IP w warstwie Standardowa z dowolnym interfejsem sieciowym maszyny wirtualnej (jeśli istnieje wiele interfejsów sieciowych, posiadanie jednej karty sieciowej ze standardowym publicznym adresem IP uniemożliwia domyślny dostęp wychodzący dla maszyny wirtualnej).
Używanie trybu elastycznej aranżacji dla zestawów skalowania maszyn wirtualnych
- Elastyczne zestawy skalowania są domyślnie bezpieczne. Wszystkie wystąpienia utworzone za pośrednictwem elastycznych zestawów skalowania nie mają skojarzonego domyślnego adresu IP dostępu wychodzącego, więc wymagana jest jawna metoda ruchu wychodzącego. Aby uzyskać więcej informacji, zobacz Tryb elastycznej aranżacji dla zestawów skalowania maszyn wirtualnych
Ważne
Gdy pula zaplecza modułu równoważenia obciążenia jest skonfigurowana przez adres IP, będzie używać domyślnego dostępu wychodzącego z powodu trwającego znanego problemu. Aby domyślnie zabezpieczyć konfigurację i aplikacje z wymagającymi potrzebami ruchu wychodzącego, należy skojarz bramę translatora adresów sieciowych z maszynami wirtualnymi w puli zaplecza modułu równoważenia obciążenia w celu zabezpieczenia ruchu. Zobacz więcej na temat istniejących znanych problemów.
Jeśli potrzebuję dostępu wychodzącego, jaki jest zalecany sposób?
Brama translatora adresów sieciowych jest zalecaną metodą jawnego połączenia wychodzącego. Zaporę można również użyć do zapewnienia tego dostępu.
Ograniczenia
Łączność publiczna jest wymagana w przypadku aktywacji systemu Windows i aktualizacji systemu Windows. Zaleca się skonfigurowanie jawnej formy publicznej łączności wychodzącej.
Domyślny adres IP dostępu wychodzącego nie obsługuje fragmentowanych pakietów.
Domyślny adres IP dostępu wychodzącego nie obsługuje poleceń ping protokołu ICMP.
Następne kroki
Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure i w usłudze Azure NAT Gateway, zobacz: